Informazioni sui contenuti di sicurezza di macOS Catalina 10.15.3, dell'aggiornamento di sicurezza 2020-001 per Mojave e dell'aggiornamento di sicurezza 2020-001 per High Sierra

In questo documento vengono descritti i contenuti di sicurezza di macOS Catalina 10.15.3, dell'aggiornamento di sicurezza 2020-001 per Mojave e dell'aggiornamento di sicurezza 2020-001 per High Sierra.

Informazioni sugli aggiornamenti di sicurezza Apple

Per proteggere i propri clienti, Apple non divulga, illustra o conferma alcun problema relativo alla sicurezza prima di aver eseguito un'indagine approfondita e messo a disposizione le correzioni o gli aggiornamenti necessari. Puoi trovare un elenco delle versioni più recenti alla pagina Aggiornamenti di sicurezza Apple.

Quando possibile, i documenti di sicurezza Apple utilizzano gli ID CVE per indicare le vulnerabilità.

Per ulteriori informazioni sulla sicurezza, consulta questo articolo sulla sicurezza dei prodotti Apple.

macOS Catalina 10.15.3, aggiornamento di sicurezza 2020-001 per Mojave, aggiornamento di sicurezza 2020-001 per High Sierra

AnnotationKit

Disponibile per: macOS Catalina 10.15.2

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3877: un ricercatore anonimo in collaborazione con Zero Day Initiative di Trend Micro

apache_mod_php

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: diversi problemi presenti in PHP.

Descrizione: diversi problemi sono stati risolti con l'aggiornamento di PHP alla versione 7.3.11.

CVE-2019-11043

Audio

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3857: Zhuo Liang del Vulcan Team di Qihoo 360

autofs

Disponibile per: macOS Catalina 10.15.2

Impatto: la ricerca e l'apertura di un file da un montaggio NFS controllato da un utente malintenzionato può bypassare Gatekeeper.

Descrizione: il problema è stato risolto con ulteriori controlli da parte di Gatekeeper sui file montati attraverso una rete condivisa.

CVE-2020-3866: Jose Castro Almeida (@HackerOn2Wheels) e René Kroka (@rene_kroka)

CoreBluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: un utente malintenzionato collegato in remoto può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3848: Jianjun Dai dell'Alpha Lab di Qihoo 360

CVE-2020-3849: Jianjun Dai dell'Alpha Lab di Qihoo 360

CVE-2020-3850: Jianjun Dai dell'Alpha Lab di Qihoo 360

CoreBluetooth

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: un utente malintenzionato collegato in remoto può causare una perdita di memoria.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3847: Jianjun Dai dell'Alpha Lab di Qihoo 360

Crash Reporter

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: un'applicazione dannosa può accedere a file con restrizioni.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2020-3835: Csaba Fitzl (@theevilbit)

crontab

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3863: James Hutchins

Trovati nelle app

Disponibile per: macOS Catalina 10.15.2

Impatto: è possibile accedere in modo inappropriato ai dati codificati.

Descrizione: si verificava un problema con l'accesso di suggerimenti di Siri ai dati codificati. Il problema è stato risolto limitando l'accesso ai dati codificati.

CVE-2020-9774: Bob Gendler del National Institute of Standards and Technology

Elaborazione delle immagini

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: la visualizzazione di un file JPEG pericoloso può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3827: Samuel Groß di Google Project Zero

ImageIO

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: l'elaborazione di un'immagine dannosa può causare l'esecuzione di codice arbitrario.

Descrizione: un problema di lettura non nei limiti è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3826: Samuel Groß di Google Project Zero

CVE-2020-3870

CVE-2020-3878: Samuel Groß di Google Project Zero

CVE-2020-3880: Samuel Groß di Google Project Zero

Driver Intel Graphics

Disponibile per: macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3845: Zhuo Liang del Vulcan Team di Qihoo 360

IOAcceleratorFamily

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3837: Brandon Azad di Google Project Zero

IOThunderboltFamily

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di tipo use-after-free è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3851: Xiaolong Bai e Min (Spark) Zheng di Alibaba Inc. e Luyi Xing dell'Indiana University Bloomington

IPSec

Disponibile per: macOS Catalina 10.15.2

Impatto: il caricamento di un file di configurazione racoon dannoso può causare l'esecuzione di codice arbitrario.

Descrizione: si verificava un off-by-one error nella gestione dei file di configurazione racoon. Il problema è stato risolto attraverso un migliore controllo dei limiti.

CVE-2020-3840: @littlelailo

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-3875: Brandon Azad di Google Project Zero

Kernel

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di inizializzazione della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3872: Haakon Garseg Mørk e Cim Stordal di Cognite

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione dannosa può eseguire codice arbitrario con privilegi di sistema.

Descrizione: un problema di confusione dei tipi è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3853: Brandon Azad di Google Project Zero

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione dannosa può essere in grado di determinare il layout della memoria del kernel.

Descrizione: un problema di accesso è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3836: Brandon Azad di Google Project Zero

Kernel

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore gestione della memoria.

CVE-2020-3842: Ned Williamson in collaborazione con Google Project Zero

CVE-2020-3871: Corellium

libxml2

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: l'elaborazione di un file XML dannoso può causare la chiusura improvvisa dell'applicazione o l'esecuzione di codice arbitrario.

Descrizione: un overflow del buffer è stato risolto attraverso una migliore convalida delle dimensioni.

CVE-2020-3846: Ranier Vilela

libxpc

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: l'elaborazione di una stringa dannosa può danneggiare la memoria heap.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3856: Ian Beer di Google Project Zero

libxpc

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione potrebbe riuscire ad acquisire privilegi elevati.

Descrizione: un problema di lettura non nei limiti è stato risolto con un migliore controllo dei limiti.

CVE-2020-3829: Ian Beer di Google Project Zero

PackageKit

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: si verificava un problema di convalida nella gestione dei link simbolici. Questo problema è stato risolto attraverso una migliore convalida dei link simbolici.

CVE-2020-3830: Csaba Fitzl (@theevilbit)

Sicurezza

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione dannosa potrebbe essere in grado di uscire dalla sandbox.

Descrizione: un problema logico è stato risolto attraverso migliori limitazioni.

CVE-2020-3854: Jakob Rieck (@0xdead10cc) e Maximilian Blochberger di Security in Distributed Systems Group, Università di Amburgo

sudo

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: alcune configurazioni possono consentire a un utente malintenzionato locale di eseguire codice arbitrario.

Descrizione: un problema di overflow del buffer è stato risolto attraverso una migliore gestione della memoria.

CVE-2019-18634: Apple

Sistema

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Impatto: un'applicazione dannosa può sovrascrivere file arbitrari.

Descrizione: un problema di accesso è stato risolto attraverso migliori restrizioni di accesso.

CVE-2020-3855: Csaba Fitzl (@theevilbit)

Wi-Fi

Disponibile per: macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di leggere la memoria con restrizioni.

Descrizione: un problema di convalida è stato risolto con una migliore sanitizzazione dell'input.

CVE-2020-3839: s0ngsari di Theori e Lee dell'Università Nazionale di Seul in collaborazione con Zero Day Initiative di Trend Micro

Wi-Fi

Disponibile per: macOS Mojave 10.14.6, macOS High Sierra 10.13.6, macOS Catalina 10.15.2

Impatto: un utente malintenzionato collegato in remoto può causare l'arresto imprevisto del sistema o danneggiare la memoria del kernel.

Descrizione: un problema di danneggiamento della memoria è stato risolto attraverso una migliore convalida dell'input.

CVE-2020-3843: Ian Beer di Google Project Zero

wifivelocityd

Disponibile per: macOS High Sierra 10.13.6, macOS Mojave 10.14.6, macOS Catalina 10.15.2

Impatto: un'applicazione può essere in grado di eseguire codice arbitrario con privilegi di sistema.

Descrizione: il problema è stato risolto attraverso una migliore logica dei permessi.

CVE-2020-3838: Dayton Pidhirney (@_watbulb)

Altri riconoscimenti

Photos Storage

Ringraziamo Allison Husain della UC Berkeley per l'assistenza.

SharedFileList

Ringraziamo Patrick Wardle di Jamf per l'assistenza.